Segurança

Site WordPress Hackeado: O Que Fazer nas Primeiras 2 Horas

· João Silva · 10 min de leitura

Descobrir que o site WordPress foi hackeado provoca uma reacção instintiva de tentar resolver tudo de uma vez — apagar ficheiros suspeitos, mudar passwords, instalar plugins de segurança. Esta abordagem reactiva sem sequência correcta frequentemente deixa vestígios do ataque que permitem reinfecção em horas. O protocolo correcto para um site WordPress infectado com malware tem uma ordem específica, e as primeiras duas horas definem se a recuperação é completa ou parcial.

Este artigo apresenta o protocolo passo a passo para as primeiras duas horas após detectar que o site WordPress foi hackeado ou infectado com malware, com foco em contenção, diagnóstico, limpeza e prevenção de reinfecção.

Primeiros 15 minutos: contenção e avaliação

Antes de qualquer limpeza, é preciso conter o problema e perceber a dimensão do dano:

  • Colocar o site em manutenção: activar uma página de manutenção para evitar que os visitantes sejam expostos a malware ou redireccionamentos maliciosos. Isto também preserva a reputação da marca durante o processo de limpeza.
  • Não fazer logout imediatamente: se ainda tem acesso ao wp-admin, verificar primeiro o log de actividade, utilizadores criados recentemente e plugins instalados. Esta informação pode ser perdida se o site for restaurado de imediato.
  • Verificar o Google Search Console: se tiver acesso, verificar se existe alerta de segurança. O Google pode já ter detectado o malware e estar a apresentar avisos de segurança aos visitantes.
  • Contactar o hosting: informar o fornecedor de hosting da situação. Podem ter logs de servidor relevantes e podem isolar o site para prevenir que o malware afecte outros sites no mesmo servidor.

15 a 45 minutos: diagnóstico do comprometimento

Com o site contido, o diagnóstico determina a extensão do comprometimento:

  • Scan com Wordfence ou Sucuri: executar um scan completo de malware. Identificar ficheiros modificados recentemente e ficheiros com código suspeito (base64 encode, eval() com dados obfuscados).
  • Verificar utilizadores WordPress: confirmar que não foram criados utilizadores administradores não reconhecidos. Remover qualquer utilizador suspeito imediatamente.
  • Verificar ficheiros core WordPress: comparar checksums dos ficheiros core WordPress com os originais. O Wordfence faz isto automaticamente — qualquer ficheiro core modificado é sinal de comprometimento profundo.
  • Verificar o .htaccess: verificar se o ficheiro .htaccess tem redirecionamentos não autorizados — é um dos locais mais comuns para injecção de malware de redirecionamento.

45 minutos a 1h30: limpeza e remoção

Dependendo do diagnóstico, a limpeza pode tomar diferentes abordagens:

Opção A: Restauro a partir de backup limpo

Se existe um backup verificado de antes do comprometimento, o restauro é geralmente a abordagem mais rápida e mais fiável. Depois do restauro, é obrigatório alterar todas as credenciais e actualizar todos os plugins/temas para eliminar a vulnerabilidade que foi explorada.

Opção B: Limpeza manual

Se não existe backup ou o backup também está comprometido:

  1. Reinstalar WordPress core a partir dos ficheiros originais
  2. Reinstalar todos os plugins e temas a partir de fontes oficiais
  3. Remover ficheiros identificados pelo scan como maliciosos
  4. Limpar a base de dados de injecções de código ou conteúdo spam
  5. Verificar e restaurar o .htaccess para o conteúdo padrão WordPress

1h30 a 2h: recuperação e prevenção de reinfecção

Após a limpeza, as acções que previnem reinfecção imediata:

  • Alterar todas as passwords: WordPress admin, FTP/SFTP, base de dados, cPanel/Plesk, email associado. Usar passwords únicas e fortes para cada acesso.
  • Actualizar tudo: WordPress core, todos os plugins, todos os temas. A vulnerabilidade explorada está muito frequentemente num plugin ou tema desactualizado.
  • Verificar e corrigir permissões de ficheiros: ficheiros WordPress devem ter permissão 644, pastas 755. Permissões 777 são um risco grave.
  • Implementar autenticação de dois factores: no mínimo para todas as contas administradoras.
  • Submeter pedido de revisão ao Google: se o site esteve na blacklist do Google, submeter revisão no Google Search Console após confirmação da limpeza.

Site WordPress hackeado? A Vuvo actua imediatamente

A Vuvo tem um protocolo de resposta a comprometimentos WordPress com SLA de resposta garantido. Limpeza completa, prevenção de reinfecção e relatório do que aconteceu.

Pedir ajuda urgente